Jump to content

Verwaltung der Admin Accounts in der IT Abteilung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 23 Stunden schrieb RolfW:

Wichtig ist es, dass man eben von einer gesicherten WS (PAW) aus zu den Servern sich verbindet, sonst hat man hier ein leichteres Einfallstor.

Das habe ich so mitgenommen, allerdings wird das noch dauern bis zur Umsetzung. Das ganze muss ich erstmal verstehen und so schnell setzt man das dann ja auch nicht um.

 

Aber noch mal ganz zurück zum Anfang. Irgendwie sehe ich jetzt gerade den Wald vor lauter Bäumen nicht mehr.

Wenn man spezielle Server Admins hat und diese den lokalen Server Administratoren Gruppen zuweist, kann ich die Domänen Administratoren ja aus den lokalen Administratoren Gruppen der jeweiligen Server rausschmeißen (wenn Sie nirgends mehr auf dem Server verwendet werden), richtig? Oder verbietet man nur das anmelden? Stehe gerade auf dem Schlauch...:engel:

Link zu diesem Kommentar

Ich meine hier im Forum mal vernommen zu haben, dass man das aus Kompatibilitätsgründen nicht machen sollte. In den Technet-Foren wurde auf diesen Thread https://social.technet.microsoft.com/Forums/windowsserver/en-US/01db509a-1ce0-405a-81c3-4f782a6e5d57/remove-domain-admins-for-member-server8217s-local-administrators-group?forum=winserverManagement verwiesen.

 

Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt.

Link zu diesem Kommentar

Klar können sich die Domänenadmins immer benötigte Rechte verschaffen. Diesen (wie allen Admins) muss man vertrauen können.

Man kann aber den Default ändern (Dom-Admins aus Admin Gruppe der Server entfernen und / oder das Anmelden verweigern) damit nicht aus versehen oder durch Gewohnheit sich mit einen Dom-Admin auf einem Server oder Client eingeloggt wird.

Link zu diesem Kommentar
Am 7.3.2019 um 10:25 schrieb MurdocX:

Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt.

Das heißt, ihr habt nur noch eure eigenen DL-Sec-Gruppen in den lokalen Admins und die Domänen-Admins Gruppe komplett entfernt?

Da bei uns nur noch max. 2 Domänen Admin Accounts bestehen werden, werde ich wohl dazu tendieren die Anmeldung zu verweigern.

Link zu diesem Kommentar
Am 28.2.2019 um 08:02 schrieb magheinz:

Ich dachte man macht AGDLP?

Jetzt alow AGLP oder sogar AGP? 

 

Eine Woche Urlaub und so viele Fragen :-)))

 

Im Prinzip ist es egal, ob Du A-G-DL-P oder A-G-L-P oder A-G-DL-L-P machst. WIchtig ist das grundsätzliche Prinzip dahinter:

Globale Gruppen sind "Rollen". Rollen definieren Aufgaben, für deren Durchführung bestimmte Berechtigungen erforderlich sind.

Lokale Gruppen (Domain local oder Server local) definieren genau diese Berechtigungen.

Und durch geeignete Verschachtelung erhält jede Rolle die für sie erforderlichen Berechtigungen.

 

Am 1.3.2019 um 07:53 schrieb phatair:

Hier wird davon gesprochen, dass der Kerberos-Security-Token mit dem A-G-DL-P Prinzip sehr schnell "voll" wird und das zu Problemen führen kann.
 

 

Mit der zwischenzeitlich eingeführten SID-Compression (zusätzlich zur größeren Default-Ticket-Size) sollte das kein Problem mehr darstellen.

 

Am 1.3.2019 um 13:05 schrieb magheinz:

Im übrigen ist das ein Grund warum man AGDLP macht. Im Forst sind nur die Gruppen der lokalen Domäne im Token. Würde man die Permission über globale Gruppen verwalten wären immer alle im token.

 

Globale Gruppen sind IMMER drin.

 

Am 8.3.2019 um 11:15 schrieb MurdocX:

Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist.

 

Was ist daran unüblich? Wir leeren auf allen Non-DCs die lokalen Admins und füllen die dann bedarfsorientiert auf. Für Dienste, die unter Service-Accounts laufen, hat das keine Auswirkung, da bereits bestehende Anmeldesessions davon nicht beeinflußt werden.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...